L’entreprise avait déjà écopé d’une amende en 2015, pour défaut de sécurité sur son site internet. / « LE MONDE »

C’est une fuite de données « conséquente » qu’a sanctionné la Commission nationale de l’informatique et des libertés (CNIL). Jeudi 7 juin, elle a annoncé infliger une amende de 250 000 euros à l’encontre de l’entreprise d’optique Optical Center. Celle-ci n’avait pas, selon la CNIL, suffisamment sécurisé les données de ses clients effectuant une commande en ligne sur son site.

Adresses et numéros de Sécurité sociale

La CNIL, détaille un communiqué, avait été prévenue d’une fuite de données en juillet 2017. Après examen, ses équipes ont constaté d’elles-mêmes qu’il était possible, simplement « en renseignant [des] URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients [le site contenait plus de 334 000 documents au total] de la société ». Les documents étaient théoriquement accessibles à n’importe quel internaute : il était possible de les consulter sans se connecter à l’espace client, et sans mot de passe.

Sur les factures figuraient des informations personnelles : les nom et prénoms des clients, leur adresse postale et des données de santé, comme la correction ophtalmologique. Dans certains cas, précise la CNIL, le numéro de Sécurité sociale des clients était également affiché.

L’entreprise, qui n’a pas pour le moment donné suite aux sollicitations du Monde, a reconnu auprès de la CNIL que son site internet présentait bien « un défaut de sécurité ».

Une première sanction en 2015

« Alertée, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité », indique le communiqué de la CNIL. L’autorité a salué « la réactivité de la société dans la résolution de la faille », mais a souligné qu’Optical Center « n’était pas [non plus] sans ignorer les risques liés à un défaut de sécurisation sur son site ». En 2015 déjà, une sanction de 50 000 euros avait ainsi été prononcée pour ce motif à l’encontre d’Optical Center.

A l’époque, la CNIL avait reproché à l’entreprise de ne pas avoir suffisamment sécurisé l’espace d’authentification utilisé par les clients sur son site, laissant leurs mots de passe vulnérables. Elle avait également été critiquée pour ne pas avoir explicitement demandé à l’un de ses sous-traitant de protéger la sécurité et la confidentialité des données de ses clients, ce qui est pourtant une obligation légale. 170 000 comptes clients étaient alors concernés.